angriffe vServer ... ?

tatura · 1. Juni 2010

hallo forum,

wollte mal fragen ob es bei euch aehnlich viele angriffe auf eure (v)server gibt ... bin daher am ueberlegen eine pub-key authentifizierung (ssh) einzuführen.

2010 Jun 01 07:13:43

Received From: vXXXXXX ...->/var/log/auth.log
Rule: 5703 fired (level 10) -> "Possible breakin attempt (high number of reverse lookup errors)."
Portion of the log(s):

Jun 1 07:13:42 vXXXXXX ... sshd[18694]: reverse mapping checking getaddrinfo for y103.net141.okay.pl [85.28.141.103] failed - POSSIBLE BREAK-IN ATTEMPT!
Jun 1 07:13:39 vXXXXXX ... sshd[18650]: reverse mapping checking getaddrinfo for y103.net141.okay.pl [85.28.141.103] failed - POSSIBLE BREAK-IN ATTEMPT!
Jun 1 07:13:37 vXXXXXX ... sshd[18607]: reverse mapping checking getaddrinfo for y103.net141.okay.pl [85.28.141.103] failed - POSSIBLE BREAK-IN ATTEMPT!
Jun 1 07:13:35 vXXXXXX ... sshd[18569]: reverse mapping checking getaddrinfo for y103.net141.okay.pl [85.28.141.103] failed - POSSIBLE BREAK-IN ATTEMPT!
Jun 1 07:13:32 vXXXXXX ... sshd[18528]: reverse mapping checking getaddrinfo for y103.net141.okay.pl [85.28.141.103] failed - POSSIBLE BREAK-IN ATTEMPT!

--END OF NOTIFICATION

2010 Jun 01 07:13:47

Received From: vXXXXXX ...->/var/log/auth.log
Rule: 5719 fired (level 10) -> "Multiple access attempts using a denied user."
Portion of the log(s):

Jun 1 07:13:47 vXXXXXX ... sshd[18801]: User root from 85.28.141.103 not allowed because none of user's groups are listed in AllowGroups
Jun 1 07:13:44 vXXXXXX ... sshd[18750]: User root from 85.28.141.103 not allowed because none of user's groups are listed in AllowGroups
Jun 1 07:13:42 vXXXXXX ... sshd[18694]: User root from 85.28.141.103 not allowed because none of user's groups are listed in AllowGroups
Jun 1 07:13:39 vXXXXXX ... sshd[18650]: User root from 85.28.141.103 not allowed because none of user's groups are listed in AllowGroups
Jun 1 07:13:37 vXXXXXX ... sshd[18607]: User root from 85.28.141.103 not allowed because none of user's groups are listed in AllowGroups
Jun 1 07:13:35 vXXXXXX ... sshd[18569]: User root from 85.28.141.103 not allowed because none of user's groups are listed in AllowGroups
Jun 1 07:13:32 vXXXXXX ... sshd[18528]: User root from 85.28.141.103 not allowed because none of user's groups are listed in AllowGroups

--END OF NOTIFICATION

2010 May 31 23:28:40

Received From: vXXXXXX ...->/var/log/auth.log
Rule: 5712 fired (level 10) -> "SSHD brute force trying to get access to the system."
Portion of the log(s):

May 31 23:28:39 vXXXXXX ... sshd[9987]: Failed password for invalid user alias from 74.95.79.97 port 45351 ssh2
May 31 23:28:37 vXXXXXX ... sshd[9987]: Invalid user alias from 74.95.79.97
May 31 23:28:36 vXXXXXX ... sshd[9955]: Failed password for invalid user recruit from 74.95.79.97 port 45248 ssh2
May 31 23:28:34 vXXXXXX ... sshd[9955]: Invalid user recruit from 74.95.79.97
May 31 23:28:33 vXXXXXX ... sshd[9918]: Failed password for invalid user sales from 74.95.79.97 port 45141 ssh2
May 31 23:28:31 vXXXXXX ... sshd[9918]: Invalid user sales from 74.95.79.97
May 31 23:28:30 vXXXXXX ... sshd[9884]: Failed password for invalid user staff from 74.95.79.97 port 45036 ssh2

--END OF NOTIFICATION

2010 May 31 22:37:40

Received From: vXXXXXX ...->/var/log/auth.log
Rule: 5712 fired (level 10) -> "SSHD brute force trying to get access to the system."
Portion of the log(s):

May 31 22:37:39 vXXXXXX ... sshd[9641]: Failed password for invalid user web from 85.28.141.103 port 59700 ssh2
May 31 22:37:38 vXXXXXX ... sshd[9641]: Invalid user web from 85.28.141.103
May 31 22:37:37 vXXXXXX ... sshd[9627]: Failed password for invalid user web from 85.28.141.103 port 59568 ssh2
May 31 22:37:36 vXXXXXX ... sshd[9627]: Invalid user web from 85.28.141.103
May 31 22:37:35 vXXXXXX ... sshd[9607]: Failed password for invalid user web from 85.28.141.103 port 59417 ssh2
May 31 22:37:33 vXXXXXX ... sshd[9607]: Invalid user web from 85.28.141.103
May 31 22:37:32 vXXXXXX ... sshd[9587]: Failed password for invalid user web from 85.28.141.103 port 59282 ssh2

--END OF NOTIFICATION

2010 May 31 21:53:17

Received From: vXXXXXX ...->/var/log/auth.log
Rule: 5551 fired (level 10) -> "Multiple failed logins in a small period of time."
Portion of the log(s):

May 31 21:53:16 vXXXXXX ... sshd[18378]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.78.77.25 user=root
May 31 21:53:11 vXXXXXX ... sshd[18348]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.78.77.25 user=root
May 31 21:53:06 vXXXXXX ... sshd[18222]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.78.77.25 user=root
May 31 21:53:02 vXXXXXX ... sshd[17923]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.78.77.25 user=root
May 31 21:52:57 vXXXXXX ... sshd[17885]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.78.77.25 user=root
May 31 21:52:53 vXXXXXX ... sshd[17848]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.78.77.25 user=root
May 31 21:52:48 vXXXXXX ... sshd[17809]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.78.77.25 user=root

--END OF NOTIFICATION

2010 May 31 20:44:56

Received From: vXXXXXX ...->/var/log/auth.log
Rule: 5712 fired (level 10) -> "SSHD brute force trying to get access to the system."
Portion of the log(s):

May 31 20:44:56 vXXXXXX ... sshd[7959]: Failed password for invalid user ts from 165.246.41.44 port 35123 ssh2
May 31 20:44:54 vXXXXXX ... sshd[7959]: Invalid user ts from 165.246.41.44
May 31 20:44:51 vXXXXXX ... sshd[7915]: Failed password for invalid user ts from 165.246.41.44 port 34820 ssh2
May 31 20:44:50 vXXXXXX ... sshd[7915]: Invalid user ts from 165.246.41.44
May 31 20:44:47 vXXXXXX ... sshd[7873]: Failed password for invalid user ts from 165.246.41.44 port 34504 ssh2
May 31 20:44:46 vXXXXXX ... sshd[7873]: Invalid user ts from 165.246.41.44
May 31 20:44:43 vXXXXXX ... sshd[7822]: Failed password for invalid user ts from 165.246.41.44 port 34162 ssh2

--END OF NOTIFICATION

ferrarajunior · 1. Juni 2010

Hallo
Sowas :

Zitat

May 31 20:44:56 vXXXXXX ... sshd[7959]: Failed password for invalid user ts from 165.246.41.44 port 35123 ssh2
May 31 20:44:54 vXXXXXX ... sshd[7959]: Invalid user ts from 165.246.41.44
May 31 20:44:51 vXXXXXX ... sshd[7915]: Failed password for invalid user ts from 165.246.41.44 port 34820 ssh2
May 31 20:44:50 vXXXXXX ... sshd[7915]: Invalid user ts from 165.246.41.44
May 31 20:44:47 vXXXXXX ... sshd[7873]: Failed password for invalid user ts from 165.246.41.44 port 34504 ssh2
May 31 20:44:46 vXXXXXX ... sshd[7873]: Invalid user ts from 165.246.41.44
May 31 20:44:43 vXXXXXX ... sshd[7822]: Failed password for invalid user ts from 165.246.41.44 port 34162 ssh2

Alles anzeigen

hab ich auch nur in meinen logs ...
mein einziger Tipp installier dir "fail2ban" per aptitude install fail2ban
Nach 3 falschen Versuchen bannt er dann den "bruteforcer"

Sonstige Tips. :
Falls du nach Anleitung xy (Wie installiere ich Teamspeak ... CS:S etc. )vorgegangen bist nenne deinen User NICHT Teamspeak sonder von mir aus sowas wie teamspikzwo oder weiß der Geier halt anders ...
oder nimm dem user glatt die shell ... entweder
(vi /etc/passwd ) und dann bin/bash auf bin/false ändern oder den betroffenen user mittels

usermod -s bin/false USER

Einloggen kannst du dich danach nichtmehr im Putty

Du siehst ja selbst, welche "user" "password" Kombination der Bruteforcer versucht.

2. Erstell dir ein möglichst sicheres Root PW (Zahlen, buchstaben, Sonderzeichen)
Nicht sowas, wie "123Abc456def" wobei das schon "sicherer" wie "123456" ist

Alles Auslegungssache.

Was ich mal gemacht hab .... Ip's via "whois" nachgeguckt und dann die Hoster darüber informiert.

Schaumal ein paar Posts weiter, da hab ich das gleiche Problem wie du geschildert hast.
Kann man nix machen.

eine Keyfile erstellen wär aunoch eine Alternative

MfG

perryflynn · 1. Juni 2010

Zitat

bist nenne deinen User NICHT Teamspeak

Wie wäre es wenn man den Benutzer einfach die Standardshell /bin/false bzw nologin gibt?

Code

reverse mapping checking getaddrinfo for y103.net141.okay.pl

Das kommt wenn der SSH Server keinen Reverse Lookup beim DNS Server hinbekommt. Musste mal die eingetragenen DNS Server überprüfen.

ferrarajunior · 1. Juni 2010

Zitat von sim4000;20489

Standardshell /bin/false bzw nologin gibt?

Jo is auch ne Möglichkeit hab ich erst später dran gedacht, weil ich muss ab und an mal mit dem User "teamspeak" rein ...

Ich meinte das jetzt aber auch mehr Allgemein ...
man sollte auch so oder so seine Datenbankuser in irgendwelchen tutorials immer umbennen, auch wenn es mehr Arbeit verheißt.
Von den Passwörtern mal ganz zu schweigen.

Es soll leute geben, die "Passworthere" als passwort belassen ....

MfG

tatura · 1. Juni 2010

hallo ferrarajunior,

danke fuer die schnelle antwort ...
mich wundert trotzdem die haeufigkeit (zeitspanne) in welcher der ip-raum, auf dem die vsever liegen, angegriffen wird (auf vserver laufen im normalfall nicht gerade wichtige anwendungen).

> 2. Erstell dir ein möglichst sicheres Root PW (Zahlen, buchstaben, Sonderzeichen)
> Nicht sowas, wie "123Abc456def" wobei das schon "sicherer" wie "123456" ist

das passwort ist bereits einigermassen sicher ...
12-stellig (klein-/grossschreibung + sonderzeichen). root-login ist deaktiviert.

> eine Keyfile erstellen wär aunoch eine Alternative

wie gesagt an den punkt dachte ich bereits ... (hielt ihn bisher aber fuer unoetig/uebertrieben)

beste gruesse,
tatura

KB19 · 1. Juni 2010

Zitat von sim4000;20489
Code
reverse mapping checking getaddrinfo for y103.net141.okay.pl
Das kommt wenn der SSH Server keinen Reverse Lookup beim DNS Server hinbekommt. Musste mal die eingetragenen DNS Server überprüfen.

Das kannst getrost ignorieren, das heißt nur, dass der rDNS Eintrag (vermutlich) falsch oder gefälscht ist

MfG Christian

IanFrey · 1. Juni 2010

Zitat von ferrarajunior;20488

hab ich auch nur in meinen logs ...
mein einziger Tipp installier dir "fail2ban" per aptitude install fail2ban
Nach 3 falschen Versuchen bannt er dann den "bruteforcer"

Ansonsten vllt. auch einfach mal den SSH-Port ändern.. hat bei mir eine menge Logzeilen eingespart

ferrarajunior · 1. Juni 2010

Zitat von tatura;20493

mich wundert trotzdem die haeufigkeit (zeitspanne) in welcher der ip-raum, auf dem die vsever liegen, angegriffen wird (auf vserver laufen im normalfall nicht gerade wichtige anwendungen).

mal überlegt den über denny einfach auszuschließen?
Was ich dir wirklich empfehlen kann ist fail2ban damit fühlst du dich gleich sicherer ...

3 Versuche und der Server wird gebannt.

kleiner Auszug von gestern Abend

Zitat

fail2ban.log:2010-05-31 23:37:51,517 fail2ban.actions: WARNING [ssh] 74.95.79.97 already banned
fail2ban.log:2010-05-31 23:38:00,527 fail2ban.actions: WARNING [ssh] 74.95.79.97 already banned
fail2ban.log:2010-05-31 23:38:09,537 fail2ban.actions: WARNING [ssh] 74.95.79.97 already banned
fail2ban.log:2010-05-31 23:38:21,548 fail2ban.actions: WARNING [ssh] 74.95.79.97 already banned
fail2ban.log:2010-05-31 23:38:33,562 fail2ban.actions: WARNING [ssh] 74.95.79.97 already banned
fail2ban.log:2010-05-31 23:38:45,574 fail2ban.actions: WARNING [ssh] 74.95.79.97 already banned
fail2ban.log:2010-05-31 23:38:54,581 fail2ban.actions: WARNING [ssh] 74.95.79.97 already banned
fail2ban.log:2010-05-31 23:39:03,589 fail2ban.actions: WARNING [ssh] 74.95.79.97 already banned
fail2ban.log:2010-05-31 23:39:13,601 fail2ban.actions: WARNING [ssh] 74.95.79.97 already banned
fail2ban.log:2010-05-31 23:39:23,611 fail2ban.actions: WARNING [ssh] 74.95.79.97 already banned

Alles anzeigen

also Sinn machts, falls du nicht schon etwas Anderes hast.

Ansonsten sind bruteforce attacken nicht "sooo" schlimm ...

musst halt bedenken der Versucht wahllos User - Passwort Kombinationen

Der kennt weder den User noch das Passwort ...

MfG

*edit :
Mal ne Frage am Rande
Woher kommen diese ganzen Bruteforcer ... also bei mir sind die aus Griechenland ... korea und letztens hatte ich einen vom Strato RZ
Hab den Griechen und Koreanern ne Abuse Mail geschrieben kam nix ... Strato hat wenigstens eingegriffen ....
Ärgerlich sowas ... aber solange es "nur" Bruteforce ist

vmk · 1. Juni 2010

Zitat von sim4000;20489
Code
reverse mapping checking getaddrinfo for y103.net141.okay.pl
Das kommt wenn der SSH Server keinen Reverse Lookup beim DNS Server hinbekommt. Musste mal die eingetragenen DNS Server überprüfen.

Was in diesem Beispiel sinnlos ist, da der Eintrag gar nicht auflösbar ist.

tatura, geben einfach den ssh-Port nur für deine IP-Range bei deinem DSL/Kabel-Anbieter frei. Nur sich auf Publickey zu verlassen ist der falsche Weg. Es gibt sicherlich irgendwann mal wieder einen Exploit für den SSH-Server. Gerade die Debian-Leute haben sich hier super negativ hervorgetan: http://www.all-about-security.…en-debian-openssl-und-da/.

update:

Zitat von ferrarajunior;20500

Ansonsten sind bruteforce attacken nicht "sooo" schlimm ...

Bei falscher Konfiguration läuft das Logfile über und bei entsprechenden Attacken gibt es halt so viele SSH-Login-Sessions, daß es mal eben den Hauptspeicher wegsprengen kann.

theDude · 1. Juni 2010

Ich habe bei mir auch einfach denyhosts installiert. Plötzlich wurden die logs seeeehr klein =)

Samsonetty · 3. Juni 2010

Macht es eigentlich sinn beiden zu Installieren?
http://sourceforge.net/search/?type_of_search=soft&words=DenyHosts+

Nicht das die sich dann Beißen meine ich ?

angriffe vServer ... ?

Ähnliche Themen

VServer ist offline DRINGEND

wie kann ich server instalieren